Eine Lücke in ExpressVPN führt dazu, dass einige DNS-Anfragen beim Provider statt VPN-Anbieter landen.
Der VPN-Anbieter ExpressVPN bietet eine Windows-Software an, die den verschlüsselten Traffic über das Netzwerk des Unternehmens umleitet und so das Umgehen etwa von staatlicher Zensur ermöglicht. Aufgrund eines Fehlers in der Software können bei einer bestimmten Nutzungsart die DNS-Anfragen, die Servernamen zu IP-Adressen auflöst, die der Rechner dann kontaktiert, anstatt geschützt bei ExpressVPN offen beim Internetprovider landen. Der Schutz der Privatsphäre ist damit hin, etwa staatliche Überwacher können dadurch Einblick in besuchte Server erlangen.
In einem Blog-Beitrag erklärt ExpressVPN, dass der Fehler dann auftreten kann, wenn Nutzerinnen und Nutzer die Software im “Split tunneling”-Modus nutzen. Dabei gibt es die Variante, dass nur ausgewählte Apps den VPN-Tunnel nutzen dürfen – die Alternative lautet, spezifizierte Apps dürfen das VPN nicht nutzen. Sofern nur ausgewählte Apps das VPN nutzen können sollen, hätten die ExpressVPN-Entwickler das Verhalten gelegentlich nachstellen können.
ExpressVPN-Update schaltet Funktion komplett ab
Der Fehler betrifft ExpressVPN für Windows in Version 12. Die Entwickler glauben, dass weniger als ein Prozent der ExpressVPN-Kunden diese Funktion nutzen, und haben sie mit einem Update auf Version 12.73.0 kurzerhand komplett stillgelegt. Das ist die vorgesehene Lösung, bis die Entwickler die Ursache korrekt eingrenzen können.
ExpressVPN betont, dass lediglich Teile der DNS-Anfragen möglicherweise beim Internetanbieter anstatt auf den Unternehmensservern gelandet seien. Das habe keine Einsicht etwa in konkret besuchte Webseiten oder den verschlüsselten Internetverkehr erlaubt.
In einer FAQ erläutert der Anbieter, dass die Versionen 12.23.1 bis 12.72.0, die zwischen dem 19. Mai 2022 und dem 7. Februar 2024 veröffentlicht wurden, fehlerhaft sind. Nutzerinnen und Nutzer sollen entweder das automatische Update aktivieren oder die jüngste Version der App von der Downloadseite von ExpressVPN herunterladen und überinstallieren. Wer auf die Split-Tunneling-Funktion angewiesen ist, könne ein Downgrade auf Version 10 vornehmen.
ExpressVPN fiel Mitte 2021 mit der Vorstellung eines eigenen VPN-Protokolls namens “Lightway” auf. Der Hersteller hat es als quelloffene Software auf Github veröffentlicht und ein Berliner Unternehmen mit einem Sicherheitsaudit beauftragt, das denn zu einem insgesamt positiven Ergebnis kam.